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Bezpieczeństwo w usłudze 
Business Euerywhere Intranet 


Usługa Business Euerywhere Intranet została zaprojektowana z myśłą o Klientach, dla których 
bezpieczeństwo danych firmowych jest niezwykle istotne. Telekomunikacja Polska zastosowała 
szereg zabezpieczeń zarówno od strony technologii jak również zagwarantowała system 
identyfikacji osób, które mogą uzyskać dostęp do sieci korporacyjnej. 

W trosce o bezpieczeństwo informacji TP zaangażowała swoich najlepszych specjalistów, którzy 
stale monitorują sprawne funkcjonowanie sieci i urządzeń sieciowych. Dzięki temu Klienci usługi 
Business Euerywhere Intranet nie muszą samodzielnie nadzorować zabezpieczeń w swojej Firmie. 
Mogą skoncentrować się w tym czasie na podstawowej działalności i prowadzeniu biznesu. 

Nadzór nad bezpieczeństwem firmowym w ramach usługi Business Euerywhere Intranet przejmuje 
Telekomunikacja Polska. Klienci usługi nie muszą inwestować w sprzęt sieciowy - wszystkim tym 
zajmuje się TR 

Usługa Business Euerywhere Intranet jest usługą bezpieczną ponieważ: 

• Dostęp do usługi mają wyłącznie osoby wskazane przez Administratora po stronie Klienta 

• TP autoryzuje użytkowników na podstawie indywidualnych nazw (loginów) 

• Komunikacja pomiędzy Klientem a siecią korporacyjną jest oddzielona od dostępu osób trzecich 
(np. poprzez Internet) 

• Wszystkie połączenia zabezpieczane są protokołem szyfrowania IPSec^ 

• Zagwarantowano bezpieczne procedury dostarczania hasła i PIN-u. Administrator po stronie 
Klienta kreuje użytkownika oraz hasło w portalu Baltic. Z tego poziomu sam generuje hasta bądź 
przy pomocy generatora bądź też proponuje własne. Administrator może samodzielnie w razie 
potrzeby dokonywać zmiany haseł i nikt poza nim nie ma takich uprawnień oraz dostępu. 

Po wygenerowaniu i zatwierdzeniu nowego hasła lub zmianie już istniejącego rejestrowane jest 
ono w bazie LDAR 

Bezpieczeństwo realizowanych połączeń Użytkownika zapewniane jest przez zastosowanie IPSec, 
czyli zbioru protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy 
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kodo\Juych pomiędzy urządzeniami. Protokoły tej grupy u;ykorzystyu;ane 
są do tvA;orzenia bezpiecznej Wirtualnej Sieci Prywatnej (VPN). Przy 
szyfrowaniu danych w usłudze Business Euerywhere Intranet stosowany 
jest IPSec z zastosowaniem algorytmu szyfrującego 3DES. 




Ze względów bezpieczeństwa aplikacja Access Companion, z której korzysta użytkownik wyklucza 
możliwość zestawienia jednoczesnych połączeń do firmowego Intranetu oraz Internetu. 
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Aby zasięgnąć informacji z globalnej sieci Internet użytkownik może uzyskać do niej dostęp, 
ale na zasadach, jakie dla jego firmowego konta zdefiniował Administrator w jego firmie i poprzez 
firmową bramę. 

Standardowo bezpośredni dostęp do Internetu w technologii GPRS/EDGE/ 3 G jest zablokowany. 
Może on jednak zostać aktywowany na podstawie zlecenia dokonanego przez Administratora 
usługi. 

IPSec 

IPSec jest zbiorem protokołów służących do implementacji bezpiecznych połączeń (kanały 
Wirtualnej Sieci Prywatnej) oraz wymiany kluczy kodowych pomiędzy komputerami. Dane 
przepływające przez takie połączenia są zaszyfrowane a przez to niemożliwe do podejrzenia 
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przez osoby trzecie. IPSec jest to standard lETF^ pełniący funkcję 
zabezpieczenia vjuarstvuie sieci, a co vuażne jednocześnie niezależny od 
vjuarstvjuy aplikacji (http, ftp, smtp). 

Model \uarst\Juo\uy ISO/OSI i typy zabezpieczania 


Aplikacji 

Telnet 

Prezentacji 

Sesji 

Sesja TCP 

Transportowa 

TCP/UDP 

Sieciowa 

IP 

Fizyczna 

Ethernet 

Łącza 

Twisted Pair 


^PGP 

^SSH 
^SSL 
^IPSec 

Szyfratory sprzętou^e 


IPSec Concentrator 

Urządzenie IPSec Concentrator koncentruje tunele IPSec od użytko\Junikó\Ju, dokonuje 
uvuierzytelnienia i autoryzacji użytkovunikóvju, a następnie szyfruje dane wchodzące do tunelu 
i odszyfrowuje dane wychodzące z tunelu. Odszyfrowane dane kierowane są do sieci Klienta, 
a samo urządzenie pracuje jako wirtualny router sieci transmisji danych danego Klienta. 
Urządzenie to znajduje się dodatkowo za firewall'em, przez który przepuszczany jest cały 
przychodzący ruch (flrewall służy ochronie Gateway'a). 

Użytkownik zestawia łącze do IPSec Concentratora poprzez flrewall gdzie następuje filtracja 
przychodzącego ruchu. Na IPSec Concentratorze następuje autoryzacja i uwierzytelnienie, 
a dopiero później zestawiany jest bezpieczny tunel VPN IPSec. W momencie zestawiania tunelu 
jednym z najważniejszych wymagań jest zapewnienie obu stronom uwierzytelnienia. Pozwala to 
zabezpieczyć się przed podszyciem się nieuprawnionej osoby pod którąś ze stron. 

Architektura dostępu przez WiFi Orange - Bezpieczeństwo 

FlotSpot jest ogólnie dostępną siecią WiFi w której istnieje możliwość nieuprawnionego 
dostępu do transmitowanych danych. Aplikacja BEW Intranet na tak przygotowanym połączeniu 
„niebezpiecznym" zestawia „bezpieczny" kanał IPSec. Proces zestawiania kanału jest również 
odpowiednio zabezpieczony gwarantując i w tym momencie bezpieczeństwo. 
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Bezpieczeńst\Juo obejmuje: 

• Separacje ruchu pomiędzy różnymi osobami podłączonymi do jednego 
Hotspota, 

• Anti-rebond - użytkou;nik nie może komunikou;ać się z innym 
użytkou;nikiem \ju obrębie danego Hotspot'a, 

• Anti-spooflng - podczas autoryzacji przydzielany użytkovjunikovui jest adres IP 

• U\juierzytelnienie i autoryzacja użytkou^nika za pomocą Kodu statycznego lub eTokenu PKI, 
która następuje \ju trakcie zestau;ienia kanału IPSec, 

• Od momentu zestavuienia sesji IPSec vuymusza transmisję do sieci Klienta (FR/ATM, ME, IP VPN, 
SME), 

• Terminal (laptop) użytkou;nika akceptuje jedynie ruch z/do Gateu;ay'a BEW Intranet (bloko\Juany 
jest inny ruch np. do Internetu), 

• Zag\Juarantou;ana separacja sieci (dane, adresacja) pomiędzy Klientami 

Architektura dostępu przez GPRS/EDGE/3G Orange - Bezpieczeństwo 
W systemie GPRS/EDGE/3G weryfikacja profilu Użytkownika - autoryzacja GPRS realizowana jest 
w oparciu o kartę SIM, oraz autoryzacja dostępu do APN^ TR 

APN'y ORANGE dostępne dla Klientów 

• be.tp.pl - Modem otrzymuje prywatne adresy IR zablokowany jest dostęp do Internetu 
(użytkownik może się połączyć jedynie z Gateway'em),jednostopniowa autoryzacja do Intranetu 

• Internet - Modem otrzymuje prywatne adresy IR użytkownik ma dostęp do Internetu oraz 
jednostopniowa autoryzacja do Intranetu 

PKI - Bezpieczeństwo 

Autoryzacja opiera się o eToken PKl"^ (niewielkie urządzenie USB), zapewniający bezpieczny 
i wygodny sposób uwierzytelniania Użytkownika z użyciem Certyfikatu PKI. Obecnie Klienci mają 
do wyboru 2 sposoby autoryzacji: Kod statyczny lub PKI. Klienci, którzy obecnie korzystają z Kodu 
statycznego będą mogli również zamówić eToken PKI. 

W ramach PKI Klientom udostępniany jest eToken PKI, który pozwala na uwierzytelnianie 
użytkownika. W urządzeniu USB umieszczony jest również kluczl Aby zapewnić właściwy poziom 
usługi, PKI realizuje następujące funkcje: rejestracja, certyfikacja, generacja kluczy, odnawiania 
kluczy, certyfikacja wzajemna, odwołanie certyfikatu, odzyskiwanie klucza. 
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Infrastruktura Klucza Publicznego 

Idea PKI oparta jest na cyfrowych certyfikatach® potwierdzających 
związek między konkretnymi uczestnikami transakcji a kluczami 
kryptograficznymi, stosowanymi podczas realizowania bezpiecznych 
transakcji. 

Struktura PKI składa się z trzech głównych elementów: 

• Urzędów Rejestracji (ang. Registration Authority - RA), dokonujących weryfikacji danych 
użytkownika a następnie jego rejestracji. 

• Urzędów Certyfikacji (ang. Certiflcation Authority - CA), wydających certyfikaty cyfrowe. 

Jest to poprzedzone procesem identyfikacji zgłaszającego się o wydanie certyfikatu. Pozytywne 
rozpatrzenie zgłoszenia kończy się wydaniem certyfikatu wraz z datą jego rozpatrywania. 

• Repozytoriów kluczy, certyfikatów i list unieważnionych certyfikatów (ang. Certiflcate Reuocation 
Lists - CRLs). Typowa implementacja to umożliwienie, w oparciu o protokół LDAR dostępu do 
certyfikatów i CRLs. Inne sposoby realizacji mogą być oparte na protokołach X.500, HTTR FTP 

i poczcie elektronicznej. Certyfikat może stać się nieważny przed datą jego wygaśnięcia. 
Przyczyną tego może być np. zmiana nazwiska lub adresu poczty elektronicznej użytkownika 
czy ujawnienie klucza prywatnego. W takich przypadkach CA odwołuje certyfikat i umieszcza 
jego numer seryjny na ogólnodostępnej liście CRL. 
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^ Architektura IPSec gwarantuje bezpieczne przesyłanie danych poprzez specjalne protokoły pakietów IP przez sieć 
Internet. Oryginalny pakiet IP jest szyfrowany oraz otrzymuje nowy nagłówek protokołu IPSec, a dopiero 
w takiej formie przesyłany jest przez sieć. 

^ lETF (Internet Engineering Task Force - nieformalne, międzynarodowe stowarzyszenie osób zainteresowanych 
ustanawianiem standardów technicznych i organizacyjnych w Internecie). 

3 APN (Access Point name) - nazwa punktu dostępu. Dla sieci GSM, APN oznacza nazwę serwera obsługującego 
transmisję danych. Wpisanie danych APN'u jest niezbędne do korzystania z takich usług jak WAP lub GPRS. 

eToken PKI jest silnym wsparciem dwukierunkowej i dwu-składnikowej autentykacji gwarantującym niezaprzeczalność 
przy dokonywaniu autoryzacji drogą elektroniczną. Posiada on wbudowane mechanizmy umożliwiające generowanie 
1024-bitowych kluczy RSA (algorytm kryptografii asymetrycznej), w pełni integruje się z infrastrukturami PKI oraz 
potrafi generować i przechowywać klucze niezbędne do szyfrowania. Warto zaznaczyć, że nie ma możliwości, aby klucz 
prywatny opuścił eToken PKI - wszystkie informacje przechowywane są w doskonale zabezpieczonym środowisku 
mikrokontrolera. 

5 Klucz (ang. key) - jest to specjalna informacja umożliwiająca wykonywanie pewnej czynności kryptograficznej 
- szyfrowania, deszyfrowania, podpisywania, weryfikacji podpisu itp. 

® Cyfrowy certyfikat wydeje Urząd Certyfikacji (Certification Authority - CA) potwierdzając wydanie dokumentu 
podpisem cyfrowym oraz związek pomiędzy użytkownikiem a kluczem, którego używa. Certyfikaty mają zadany okres 
ważności (np. rok). 
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